网管交流机需要设置才干运用吗(连交流机的进击)
我要评论- 起首,连交流机墨尔本女健身教练防火墙或路由器一样深刻都是网管放在中心计心境房,中心计心境房物理安然取得最大年夜的交流机需击包管(非管理人员一样深刻没法进出中心计心境房)
- 其次,接入交流机一样深刻系统散布,设置供应终端用户的才干接入(非管理人员都能比拟随便接触到接入层交流机)
交流机层面能够触及的进击情势和进攻方法:
针对这么多的进击情势,我们大年夜致可以分为四类:
- MAC Layer Attacks
- VLAN Attacks
- Spoofing Attacks
- Switch Device Attacks
1、运用VLAN腾跃进击
运用Trunk或Double Tag(native)完成从对其他VLAN的连交流机信息嗅探或进击
应对方法:
- 将余暇端口置为access形式(trunk off),甚至shutdown;
- 改削Native VLAN,网管幸免与在用VLAN相同。交流机需击
二、设置STP诈骗进击
经由进程假造缺陷的BPDU音讯影响生成树拓扑
应对方法:
(1) 在接主机或路由器的接口(access)设置bpdu guard,这类接口不该收到BPDU,假设收到则将接口置为error disable状况。
接口下spanning-tree bpduguard enable
(2) 或在上述接口设置Root Guard,这类接口可以收到BPDU,但假设更优的男健身教练气质BPDU,则接口置为error disable 状况,幸免基本改动。
接口下spanning-tree guard root
3、MAC诈骗进击
盗用他人MAC地址假造进击,或不法接入搜集窃守信息
应对方法:
- 端口安然,设置某物理端口可以准许的合法MAC地址,将不法MAC地址发送的流量丢弃,甚至将接口err-disable
- 静态添加CAM表项(MAC和端口、VLAN的绑定关系)
4、CAM/MAC泛洪进击
经由进程赓续假造MAC地址并发送报文,被健身教练怼促使交流机CAM表短时辰内被渣滓MAC地址充满,真实MAC被挤出,已知单播变未知单播,自愿泛洪,招致数据被嗅探。
应对方法:
端口安然,限制端口可准许进修的最大年夜MAC地址个数
5、DHCP办事器诈骗进击
经由进程不法DHCP办事器抢先为客户分派地址,经由进程下发假造的gateway地址,将客户流量引导到“中心人”从而完成信息嗅探。斗兽场健身教练系列
应对方法:
在三层交流机上设置DHCP Snooping,监听DHCP音讯,阻拦不法DHCP办事器的地址分派报文。
六、DHCP饥饿(地址池耗尽)
赓续变换MAC地址,假造DHCP乞求音讯,短时辰内将DHCP办事器地址池中的地址消耗殆尽,招致合法用户没法猎取IP地址。
应对方法:
- 一样运用端口安然技艺,限制端口可准许进修的健身教练夜舞最大年夜MAC地址个数,截止进击者经由进程变换MAC地址的方法假造DHCP乞求报文。
- 针对不变换MAC,仅变换CHADDR的状况下,在启用了DHCP Snooping技艺的交流机设置DHCP限速,设定知足惯例地址猎取需求频率的阀值,超出的状况下壅塞、隔离试图异常猎取地址的端口。
7、ARP诈骗
宣布虚伪的ARP reply音讯,将客户音讯引导至“中心人”,从而完成数据嗅探。
应对方法:
- 结合DHCP Snooping技艺所记载的合法地址绑定表(正常经由进程DHCP猎取的地址都在表中),运用Dynamic ARP inspection(DAI)技艺,剖断ARP reply内容是不是合法,考验并丢弃不法ARP reply报文。
- 静态添加ARP与IP的接洽关系表项(无需ARP request)
8、IP地址诈骗
盗用IP地址,不法访问搜集或伪装他人发送进击流量
应对方法:
- 结合DHCP Snooping记载的合法地址绑定表,运用IP Source Guard技艺,剖断IP地址是不是合法,考验并丢弃不法IP流量。
- 运用基于接口的ACL,在相关接口只仅准许合法IP地址流量(deny不法IP)
九、针对交流机设备自身的进击
截获CDP(明文)报文,猎取交流机管理地址,后续停止暗码暴力破解;截获Telnet报文(明文),嗅探口令。猎取交流机管理权限后为所欲为。
应对方法:
- 在不需要的接口封锁CDP音讯
- 重要设备尽能够不该用Telnet协议,转而运用加密传输的SSH协议上岸管理设备。由于SSH v1有尽人皆知的安然马脚,建议采取v2。
存眷学问电脑科技,懂得更多~~~
,展开全文免责声明:本文仅代表文章作者的小我不雅点,与本站有关。其原创性、真实性和文中陈说文字和内容未经本站证明,对本文和个中扫数或局部外容文字的真实性、完全性和原创性本站不作任何包管或承诺,请读者仅作参考,并自行核实相关内容。
相关文章
【大年夜佬缺钱了?刘銮雄拍卖76只爱马仕包】近日,据港媒报道,富豪刘銮雄将与苏富比拍卖行协作停止专场拍卖,拍卖第一局部将于1月30日至2月9停止,抢先拍卖77件珍躲尽品。个中包括76只爱马仕和一只喷喷2023-02-06- 版权回原作者全部,如有侵权,请接洽我们►►►查询访问专家:罗会仟,中科院物理所副研讨员END迎接扫码存眷深圳科普!我们将按期推出公益、收费、优惠的科普活动和科普好物!2023-02-06
版权回原作者全部,如有侵权,请接洽我们春天光降,很多商家抢先恐后地推出了“春日限制”商品,想要以一抹春色紧紧接纳消耗者。当我们翻开购物软件搜刮“春日限制”,映入视野的商品中,粉粉嫩嫩的樱花风味食物几近2023-02-06- 版权回原作者全部,如有侵权,请接洽我们本文节选自《生命暗码》,有删省昨天,蝌蚪君第一次听说了草莓味西红柿这类生果,你买过吗?比深刻西红柿价钱贵吗?比来几年来,国际一些生果的价钱居高不下,已非深刻家庭所2023-02-06
昔日,张艺谋执导春节档悬疑喜剧片子《满江红》宣布“苦与甜”剧情双海报,两张海报区分掩饰影片中两处极具戏剧张力的剧情名排场。两幕场景冷热清楚,一幕掩饰生逝世诀其他至暗时辰,另一幕则说清楚明了曙光之下的温2023-02-06- 版权回原作者全部,如有侵权,请接洽我们比来一段时辰,西梅俄然火了起来,尤其是鲜西梅。还方廉价呐~这类被称为“事迹之果”的西梅,最大年夜的亮点不在于它的营养多么丰厚,而是它微妙的通便效果!!浩瀚网友更是2023-02-06
最新评论